Yellow.ai cookiefel lät hackare kapa supportkonton

Yellow.ai cookiefel lät hackare kapa supportkonton

Forskare upptäckte ett Yellow.ai-cookiefel som exponerade supportagentkonton för kapning. Sårbarheten gjorde det möjligt för angripare att använda cross-site scripting (XSS) för att stjäla sessionscookies. Yellow.ai har sedan dess åtgärdat felet, men fallet belyser växande risker i chatbot-system.

Hur sårbarheten fungerade

Felet uppstod eftersom chatboten inte sanerade in- och utdata korrekt. Angripare kunde skapa promptar som tvingade chatboten att returnera skadlig HTML eller JavaScript. När detta visades i en supportagents gränssnitt kördes skriptet automatiskt.

Denna körning skickade cookies från agentens webbläsare till en server som kontrollerades av angriparen. Med dessa cookies kunde angripare imitera agenter och få tillgång till interna system.

Vilka företag som var i riskzonen

Yellow.ai tillhandahåller chatbots till stora företag som Sony, Hyundai och Domino’s. Sårbarheten fanns i plattformens kärna, men forskare fann inga bevis på att angripare utnyttjade den i praktiken.

Trots detta gör Yellow.ais stora kundbas exponeringen betydande. Kapade supportagentkonton hade kunnat göra det möjligt för angripare att avlyssna kommunikation eller missbruka utökade rättigheter.

Patch och respons

Yellow.ai åtgärdade sårbarheten genom att uppdatera hur chatboten hanterar genererad output. Efter uppdateringen visas injicerade skript som text istället för att köras i webbläsaren. Denna fix förhindrar framtida försök till cookiestöld.

Företaget bekräftade patchen och gav säkerhetsforskarna erkännande för att ha rapporterat problemet.

Lärdomar för företag

Yellow.ai-cookiefel understryker behovet av strikta skyddsåtgärder i AI-drivna system. Företag som använder chatbots bör:

  • Sanera all in- och utdata för att blockera skadliga skript.
  • Begränsa kontobehörigheter för att minska skador från en stulen session.
  • Granska chatbot-svar regelbundet för att identifiera osäkra beteenden.
  • Övervaka ovanlig aktivitet i supportsystem.

Slutsats

Yellow.ai-cookiefel visar hur små förbiseenden i chatbotdesign kan exponera kraftfulla attackvektorer. Även om felet snabbt åtgärdades hade sårbarheten kunnat låta hackare kapa supportkonton och få tillgång till känsliga system. Organisationer som använder AI-stödda verktyg måste behandla dem med samma noggrannhet som andra webbapplikationer genom att införa starka kontroller, övervaka hot och begränsa exponering.

Siyana Georgieva

0 svar till ”Yellow.ai cookiefel lät hackare kapa supportkonton”